Awareness training cybersécurité employés Sénégal : 12 modules pédagogiques (2026)

Awareness cybersécurité : la mesure ROI #1 en PME

Sur 65 incidents PME Sénégal 2024-2025 analysés, 62 % ont eu pour vecteur initial l'humain (clic phishing, USB inconnue branchée, mot de passe partagé sur WhatsApp). Pas une faille technique : un employé non formé.

Coût formation cybersec employé : 5-25 EUR / user / an. Coût d'un incident sécurité moyen PME : 5-50 M FCFA. ROI : démontrable en 1 incident évité.

Pourtant 87 % des PME que j'ai auditées n'ont jamais formé leurs équipes à la cybersécurité. C'est la mesure la plus rentable et la plus négligée.

Ce guide structure un programme 12 modules pédagogiques (1 par mois) déployable sur 1 an, avec options outils internationaux + locaux.

H2 : Les 12 modules

Module 1 — Phishing par email (Mois 1)

Pourquoi prioritaire : 91 % cyberattaques commencent par phishing email (Verizon DBIR 2024).

Contenu (45 min) :

• Définition + exemples réels (banque BICIS phishing, faux Wave, faux Microsoft).
• Signaux d'alerte : urgence, sender suspect, lien hover, fautes orthographe, demandes inhabituelles.
• Procédure : ne jamais cliquer si doute, signaler à IT, supprimer.
• Exercice : simulation phishing (envoi email piégé contrôlé, mesure clic rate).

Module 2 — Mots de passe & MFA (Mois 2)

Contenu (40 min) :

• Pourquoi mot de passe seul = faible (credential stuffing, dictionnaire, breach).
• Password manager équipe (1Password / Bitwarden — cf article dédié).
• MFA expliquée (cf article dédié) : TOTP, Push, FIDO2.
• Exercice : installer password manager + activer MFA sur 3 comptes critiques.

Module 3 — Phishing par téléphone (vishing) + SMS (smishing) (Mois 3)

Spécifique Sénégal : faux SMS Wave, faux appel "Orange Money problème compte", faux appel "DGID urgence fiscale".

Contenu (35 min) :

• Cas réels Sénégal 2024-2025.
• Procédure : raccrocher, rappeler numéro officiel, ne jamais donner code OTP.
• Exercice : jeu de rôle (formateur appelle, employé doit refuser).

Module 4 — Clés USB et matériel externe (Mois 4)

Contenu (30 min) :

• USB inconnue trouvée = ne pas brancher (cas BadUSB, ransomware auto-launch).
• Politique : USB chiffrées entreprise uniquement.
• Exercice : test "USB drop" (USB déposées dans bureaux, mesure qui branche, qui signale).

Module 5 — Mobile et BYOD (Mois 5)

Contenu (45 min) :

• Verrouillage écran obligatoire (PIN 6+, biométrie).
• Apps officielles uniquement (pas APK random).
• WhatsApp 2-step verification + chiffrement à activer.
• MDM si BYOD entreprise (Intune, Jamf, Hexnode).
• Exercice : auditer son propre téléphone (paramètres sécurité).

Module 6 — WiFi public et VPN (Mois 6)

Contenu (35 min) :

• WiFi café / hôtel / aéroport = compromis potentiel (man-in-the-middle, evil twin).
• Procédure : VPN entreprise obligatoire, jamais accès admin sans VPN.
• Hotspot personnel 4G/5G > WiFi public pour comptes sensibles.
• Exercice : configurer VPN entreprise sur smartphone + laptop.

Module 7 — Social engineering & ingénierie sociale (Mois 7)

Contenu (50 min) :

• Définition : manipulation psychologique pour obtenir info ou accès.
• Vecteurs : LinkedIn pretexting, fake support IT, fake CEO fraud (BEC Business Email Compromise — cas 2024 PME Sénégal volée 28 M FCFA).
• Procédure : règle "callback" (vérifier par canal différent), pas de virement urgent sans validation seconde personne.
• Exercice : tabletop scénario "le DAF reçoit email du CEO demandant virement urgent 5M FCFA, que faire ?".

Module 8 — Données sensibles : RGPD / CDP Sénégal (Mois 8)

Contenu (45 min) :

• CDP Sénégal (Loi 2008-12) : droits personnes, obligations entreprises, sanctions.
• Données sensibles : santé, finance, religion, opinions, biométrie.
• Bonnes pratiques : chiffrement, accès minimal, ne pas extraire vers Drive perso, ne pas partager via WhatsApp.
• Exercice : auditer son poste : quelles données sensibles ai-je localement, sont-elles protégées ?

Module 9 — Reconnaissance fuite données + procédure incident (Mois 9)

Contenu (40 min) :

• Signaux d'alerte : performance machine inhabituelle, fichiers manquants/chiffrés, anti-virus alerte, comptes verrouillés.
• Procédure : isoler immédiatement (débrancher réseau), prévenir IT / CIO, ne pas redémarrer (perte preuve forensique), documenter.
• Exercice : simulation tabletop "tu vois ransom note sur ton PC, action minute par minute".

Module 10 — Réseaux sociaux & OSINT (Mois 10)

Contenu (35 min) :

• LinkedIn / Facebook / Instagram = renseignement attaquants (date naissance, famille, employeur, lieux fréquentés → questions sécurité, spear phishing).
• Bonnes pratiques pro : pas de partage info entreprise (badges, écrans, lieux), profils privés perso, paramètres confidentialité.
• Exercice : audit profil LinkedIn perso (que verrait attaquant ?).

Module 11 — Sécurité physique (Mois 11)

Contenu (30 min) :

• Tailgating (suivre dans couloir sécurisé).
• Shoulder surfing (lire écran derrière dans transport).
• Écran verrouillé en s'absentant (Windows+L, Cmd+Ctrl+Q).
• Papiers sensibles déchiquetés (pas poubelle).
• Exercice : tour des bureaux : combien d'écrans non verrouillés trouve-t-on ?

Module 12 — Synthèse + certification (Mois 12)

Contenu (60 min) :

• Quiz final 30 questions tirées des 11 modules précédents.
• Certificat interne participation.
• Discussion ouverte : difficultés rencontrées, suggestions.
• Plan année 2 : modules avancés (pour rôles spécifiques : devs, finance, RH).

H2 : Format pédagogique recommandé

Modalités efficaces (par ordre ROI) :

• Phishing simulation (KnowBe4, Hoxhunt) : envoi mensuel emails piégés, mesure clic, formation contextuelle qui clique. Le plus efficace.
• Micro-learning vidéo 5-10 min : courtes capsules vidéo (Wizer, NINJIO).
• Quiz interactif mensuel.
• Tabletop / jeux de rôle trimestriels (le plus marquant émotionnellement).
• Formation présentielle annuelle (pour direction + nouveaux entrants).

À éviter : PDF 100 pages, formation présentielle de 4h annuelle uniquement (oubli 80 % à 6 mois).

H2 : Comparatif prestataires 2026

KnowBe4 (USA — le leader)

• Prix : ~12-25 EUR / user / an selon volume.
• Plus : 5000+ vidéos, simulation phishing top niveau, multi-langues (français inclus), reporting détaillé.
• Moins : prix, contenu très "US-flavored".
• Pour : PME 50+ employés, banques, secteurs régulés.

Hoxhunt (Finlande)

• Prix : ~10-18 EUR / user / an.
• Plus : gamification poussée (XP, leaderboards), employés deviennent "défenseurs" de l'entreprise. Très bon engagement.
• Moins : surtout adapté ETI.
• Pour : PME tech qui cherchent engagement.

Cofense PhishMe / Proofpoint Security Awareness

• Prix : 8-20 EUR / user / an.
• Plus : intégration suites sécurité Proofpoint / Cofense.
• Pour : entreprises ayant déjà Proofpoint email security.

Wizer (low-cost)

• Prix : gratuit jusqu'à 10 users, ~3-6 EUR / user / an au-delà.
• Plus : très accessible, contenu correct.
• Moins : moins riche que KnowBe4.
• Pour : TPE Sénégal, démarrage.

Solutions locales / sur-mesure Sénégal

• Cabinets cybersec Dakar (Optimus, Defense Communication, autres) proposent ateliers présentiels 2-4h.
• Prix : 300-1 500 KFCFA / atelier (groupe 10-20 personnes).
• Plus : adaptation contexte local (cas réels Sénégal, langue wolof si besoin), réseau local.
• Moins : pas de plateforme continue, pas de simulation phishing automatisée.
• Pour : compléter KnowBe4/Hoxhunt par 1-2 ateliers présentiels/an.

Open source / DIY

• OWASP Cyber Defense Matrix, CISA gratuit, ANSSI France ressources gratuites (français).
• Plus : 0 EUR, contenu solide.
• Moins : monter le programme prend 40-80h interne.
• Pour : TPE motivées 5-15 employés.

H2 : Budget réaliste PME 20 employés

Reco PME 20 employés : Hoxhunt ou KnowBe4 (~315 KFCFA / an) + 1 atelier local (500 KFCFA) = ~815 KFCFA / an = ~40 KFCFA / user / an. Imbattable vs coût incident.

H2 : Mesurer l'impact

Métriques à suivre mensuellement :

• Phishing click rate : % employés qui cliquent sur sim phishing. Objectif : passer de ~30 % (baseline) à <5 % en 12 mois.
• Phishing report rate : % employés qui signalent sim phishing. Objectif : >40 %.
• Completion rate modules : % employés ayant fini module mensuel. Objectif : >85 %.
• Quiz scores : moyenne quiz module. Objectif : >75 %.
• Incidents réels par trimestre : baseline année 1, objectif -50 % année 2.

FAQ

Combien de temps formation par mois ?

30-60 minutes / employé / mois. Total 6-12h / an. Format micro-learning préférable à 4h bloc annuel.

Comment forcer participation ?

• Sponsor direction (DG signe email lancement). 2. Modules obligatoires (rappel manager). 3. Gamification (leaderboard, badges). 4. Lier à entretiens annuels. 5. Conséquence après 3 rappels non répondus.

Formation en wolof ou français ?

Selon profil équipe : majorité PME tech Dakar = français OK. PME terrain / commercial / opérations : ajouter capsules en wolof pour mots-clés (phishing, mot de passe, données personnelles). Local prestataire peut adapter.

Coût simulation phishing seule ?

KnowBe4 PhishER Plus : ~4-8 EUR/user/an. Gophish (open source) : 0 EUR mais nécessite serveur SMTP + admin. Pour PME 20 personnes : KnowBe4 ou Wizer plus rentable.

Retour sur investissement mesurable ?

Oui : tracker click rate baseline → 6 mois → 12 mois. PME que j'ai vues passer de 35 % à 4 % click rate en 9 mois. 1 phishing évité = ROI x10-50.

Discutons de votre cas

Si vous voulez déployer un programme awareness cybersec pour votre PME au Sénégal, nous pouvons concevoir le parcours 12 mois et sélectionner les outils. WhatsApp +221 77 596 93 33.